前編では、「Pマーク(プライバシーマーク)」「ISMS(情報セキュリティマネジメントシステム)」「PCIDSS(Payment Card Industry Data Security Standard)」の各制度概要と代表的な要求事項について紹介してきました。

後編では各認証制度(Pマーク、ISMS、PCIDSS)の取得事例をご紹介していきます。

各社がどのような「目的」で各認証制度を導入したのか、「背景」や「導入効果」などにも触れながらご紹介します。

<前編はこちら>
【前編】ITサービス事業者が押さえておきたい「セキュリティ認証制度」

各認証制度の事例紹介

「Pマーク」の取得事例

Pマークの取得事例として1社ご紹介します。

事例①:ライフイズテック株式会社

【企業名】ライフイズテック株式会社

【従業員】126名(2023年4月1日現在)

【事業内容】中高生向けIT・プログラミング教育キャンプ/スクール/イベントの企画・運営、オンラインプログラミング・情報教育サービスの開発・運営

取得のきっかけは、取引先(学校)からの要請。学校向けのオンライン教材サービス『Life is Tech! Lesson』の本格展開を機にプライバシーマーク取得を検討したのがはじまり。

併せて、創業時から個人情報の取り扱いなどのセキュリティ関連は個々の裁量に任せていた状況もあり、どこかのタイミングでリスク低減を図りたいという「社内整備」の目的とも重ね合わせ、コンサルティング会社伴走のもと、2021年4月にPマークを取得した。

Pマークの導入過程においては、以下のような効果も実感。

  • Pマークのポリシーに沿って社内の状況を俯瞰できた
  • 社内でどういう情報を扱っているのか、セキュリティの観点からどう変えるべきなのか等を把握できた
  • 何をすべきかが可視化できた
  • 具体的な対策を打てた

目論見どおり「社内整備」も進み、学校向けにもサービスの導入が可能になった。

※詳細はこちらをご参照ください。

「ISMS」の取得事例

ISMSの取得事例として1社ご紹介します。

事例①:STORES 株式会社

【企業名】STORES 株式会社(元ヘイ株式会社)

【従業員】390名

【事業内容】店舗運営者に向けた、ネットショップ開設・POSレジ・キャッシュレス決済・オンライン予約システム・店舗アプリ作成など、店舗のデジタル化を総合的に支援するプラットフォームサービス

同社は、事業者の商売をオンラインプラットフォームを軸に支援するにあたり、まずはセキュリティ対策が安心・安全であることが何より重要と認識。これまでも個別サービスにおいてはPCIDSSも取得済みで、今回は「認証の拡大」が目的。

近年では店舗のデジタル化がさらに加速しており、STORESプラットフォームにおける複数サービスを横断してのユースケースも増えている。

このことを受け、さらに安心・安全にサービスを利用してもらえるよう、統一的なセキュリティレベルの強化として、STORESプラットフォーム全体でのISMS認証拡大取得に至った。

※詳細はこちらをご参照ください。

「PCIDSS」の取得事例

PCIDSSの取得事例として2社ご紹介します。

事例①:株式会社Paidy

【企業名】株式会社Paidy

【従業員】184名

【事業内容】あと払いサービス「ペイディ」

2020年8月からPCI DSS準拠に取り組み、同10月にPCIDSSに完全準拠した。CISOを招き入れ、自社内で有していたセキュリティエキスパートを筆頭に、2ヶ月という短期間での取得に至った。

ベースとなる取得理由は以下の2つ。

  1. クライアントの重要なアセットとPaidyの重要なアセットを守るために、セキュリティ対策していることを国際的に認知してもらうため
  2. 理想的な商品、サービスを提供するためには、スタンダードに準拠することが重要であるため

併せて、より具体的な取得目的としては、同社で当時開発を進めていた新サービスの提供に向け、経済産業省管轄の包括信用購入斡旋の仕組みがあり、そのガイドライン準拠に向けて複数の選択肢があったところ、全面的にPCIDSSを取得する意思決定に至った。

※詳細はこちらをご参照ください。

事例②:株式会社エクサ

【企業名】株式会社エクサ

【従業員】1,253名

【事業内容】ソフトウェア、システムの開発・販売

エクサは、キンドリルジャパンとJFEスチールを親会社に持つIT企業(元々は日本アイ・ビー・エムが筆頭株主として資本参画していたが、キンドリルジャパンに譲渡)。

クレジット事業者向けに提供している会員向けMyページや個別クレジットWeb申し込みを実現するWebクラウドサービス「BLUEBIRD(ブルーバード)」において、2014年にPCIDSS Version2.0に準拠し、その後も準拠を継続している。

BLUEBIRDがクレジットカード会社に接続するシステムであったため「PCIDSS対応は必須」と考え、サービス開発にあたってはそれを念頭に開発に着手。

決済ビジネスに携わるエンジニアを中心とした「PCIDSS準備チーム」を設置し、検討当時、約300項目あったPCIDSS要件とのギャップ分析を実施。戦略的にサービスを開発した。

※詳細はこちらをご参照ください。

【まとめ】認証制度の取得は「手段」であり「目的」ではない

今回の記事では、セキュリティ関連の認証制度として、以下3つについてご紹介してきました。

  • Pマーク
  • ISMS
  • PCIDSS

それぞれに特徴があり、どの認証を取得することが貴社の事業運営や事業展開において最も有効なのかをよく吟味する必要があることはお伝えした通りです。

一つ忘れてはならないのが、認証制度の取得はあくまで「手段」であり「目的」ではないということ。

認証制度を取得した先には、事業の”継続的な”成長が目的としてあるはずですし、認証制度自体も「取って終わり」というものではなく、PDCAを回しながら「継続的に運用をしていくもの」です。継続的な運用には相応のコスト(労力、時間、費用)も掛かってくるでしょう。

しかし「目的」が明確となっていて、社内に対しても「こういう理由でこの認証制度を取得するのだ」ということが、目的から逆算した形で落とし込めることができれば、認証制度が形骸化することなく、必ず有効に働くはずです。

今のご時世、セキュリティと事業運営は切っても切り離せない時代です。

まずは「知る」ことからはじめてください。本コラムがお役に立てれば幸いです。